Twiin Deelnemer als verwerkingsverantwoordelijke
Iedere zorgaanbieder is als Twiin Deelnemer zelfstandig verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens in de eigen zorginformatiesystemen, waaronder het GtK.
Het Twiin Afsprakenstelsel helpt Twiin Deelnemers door vast te leggen waar de verantwoordelijkheid van de één begint en waar die eindigt. Heldere afspraken en documentatie op dit punt is met name van belang bij gebruik van een elektronisch uitwisselingssysteem. Zo'n systeem maakt immers mogelijk dat een zorgverlener werkzaam bij een dossierraadpleger gegevens kan raadplegen in het dossier van een dossierhouder. Maar ook bij het verzenden van gezondheidsgegevens is van belang dat de verantwoordelijkheidsverdeling duidelijk is. De toedeling van de verantwoordelijkheid bij uitwisseling is vastgelegd in het schema bij iedere vertrouwensfunctie van het vertrouwensmodel. Zie de schema’s in hoofdstuk 5.1 t/m 5.7. In die schema’s is onderscheid gemaakt tussen de verantwoordelijkheid voor de twee typen gegevensuitwisselingen: raadplegen en verzenden.
GtK Leverancier en GtK Beheerder als verwerker
Als de Twiin Deelnemer een GtK Beheerder heeft ingeschakeld, is deze partij verwerker in opdracht van de Twiin Deelnemer. De GtK Beheerder is verwerker in opdracht van de Twiin Deelnemer voor het uitvoeren van beheer, leveren van support en de monitoring. Als er naast de GtK Beheerder een leverancier bepaalde diensten levert, zoals technisch beheer, is ook deze partij (sub)verwerker. Dat kan zijn in opdracht van Twiin Deelnemer als verwerker of in opdracht van de GtK Beheerder als (sub)verwerker. Als de GtK Leverancier dit soort diensten levert, is deze partij dan ook verwerker of subverwerker van de Twiin Deelnemer.
Verplichtingen Twiin Deelnemer als verwerkingsverantwoordelijke
Iedere Twiin Deelnemer heeft als verwerkingsverantwoordelijke de volgende verplichtingen:
-
De Twiin Deelnemer is als verwerkingsverantwoordelijke het aanspreekpunt bij verzoeken van betrokkenen op basis van hun AVG-privacyrechten zoals uitgewerkt in de Voorwaarden Twiin Deelnemer, nr. 2.6. Die voorwaarde verplicht de Twiin Deelnemer om te zorgen voor adequaat proces waarmee de cliënt te allen tijde zijn wettelijke rechten ter bescherming van zijn persoonsgegevens kan uitoefenen. Het proces incidentmelding beschrijft hoe Twiin Deelnemers elkaar zo nodig kunnen contacten over dit soort verzoeken.
-
De Twiin Deelnemer moet voldoen aan de toepasselijke beveiligingsnormen, waaronder met name NEN 7510, NEN 7512 en NEN 7513. Het vertrouwensmodel legt op een aantal onderdelen vast op welke wijze zorgaanbieders invulling geven aan deze normen. Tevens is het onderdeel transparantie van het vertrouwensmodel een invulling van het recht van de betrokkene op transparantie. Het onderdeel toestemming van het vertrouwensmodel is een invulling van de AVG-grondslag toestemming.
-
De Twiin Deelnemer is ervoor verantwoordelijk dat zijn eigen GtK voldoen aan de toepasselijke beveiligingsnormen, waaronder met name NEN 7510, NEN 7512 en NEN 7513. Met het proces Validatie GtK toetst de Twiin Organisatie de naleving van deze normen. Verder is in de dienst risicoanalyse is vastgelegd dat periodiek in overleg met de Twiin Deelnemers de risicoanalyse wordt bijgesteld wat ertoe kan leiden dat ook het informatiebeveiligingsbeleid wordt aangescherpt.
-
Deelnemer is verplicht om een (sub)verwerkersovereenkomst te (laten) sluiten met alle (sub)verwerkers zoals uitgewerkt in de Voorwaarden Twiin Deelnemer
-
De Twiin Deelnemer is gehouden om zo nodig zelf een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren als het gaat om verwerkingsactiviteit met een hoog privacyrisico zoals ook vastgesteld in de Voorwaarden Twiin Deelnemer.
Buiten scope
De Twiin Dienstverlener verwerkt geen persoonsgegevens in het kader van het Twiin Afsprakenstelsel.
Ook de Twiin Organisatie verwerkt geen persoonsgegevens in het kader van het Twiin Afsprakenstelsel.
Het Twiin Afsprakenstelsel schrijft in een aantal gevallen het gebruik van gemeenschappelijke voorzieningen voor. De gemeenschappelijke voorzieningen zijn zelf niet in het Twiin Afsprakenstelsel beschreven en deze worden ook niet door de Twiin Organisatie ontwikkeld en/of beheerd. De Twiin Organisatie heeft zodoende geen rol van eigenaar, verwerkingsverantwoordelijke of (sub)verwerker ten aanzien van deze gemeenschappelijke voorzieningen.